Die NIS2-Richtlinie kommt: Gut aufgestellt mit Datensicherheitskonzept und IT-Notfallplan

(IINews) - Cyberangriffe und andere Bedrohungen für die IT-Sicherheit häufen sich nicht nur, sie werden auch immer komplexer. Kein Wunder also, dass sich immer mehr Unternehmen mit wachsenden Herausforderungen konfrontiert sehen. Die Europäische Union reagiert auf diese Entwicklung mit der Einführung der NIS2-Richtlinie (Network and Information Security Directive 2). Diese stellt neue Anforderungen an Datensicherheitskonzepte und IT-Notfallpläne für viele Unternehmen in Deutschland. Bei der Umsetzung in deutsches Recht gibt es erhebliche Verzögerungen, aber aufgeschoben ist nicht aufgehoben.

Aktueller Stand der NIS2-Umsetzung in Deutschland

Die ursprünglich für Oktober 2024 geplante Umsetzung der NIS2-Richtlinie in deutsches Recht hat sich verzögert. Grund dafür sind das Ende der Ampelkoalition und die vorgezogenen Neuwahlen. Experten rechnen derzeit nicht vor Herbst 2025 mit einer vollständigen Umsetzung der Richtlinie in deutsches Recht.

Für so manchen Entscheider eine willkommene Entwicklung, da nicht nur die Politik, sondern auch viele Unternehmen ihre Hausaufgaben noch nicht gemacht haben. Höchste Zeit, die unfreiwillige Fristverlängerung zu nutzen, sich mit den Anforderungen der NIS2-Richtlinie auseinanderzusetzen, entsprechende Vorbereitungen zu treffen und die Cyber-Resilienz des Unternehmens zu stärken.

Wer ist betroffen?

Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen gegenüber den bestehenden Regelungen für kritische Infrastruktur deutlich. Schätzungen zufolge werden in Deutschland etwa 30.000 zusätzliche Unternehmen und Einrichtungen unter die neuen Regelungen fallen. Dies betrifft nicht nur die bisher als Kritische Infrastrukturen (KRITIS) eingestuftenBetreiber, sondern auch sogenannte “wesentliche” (essential) und “wichtige” (important) Einrichtungen.

Konkret gilt die NIS2-Richtlinie für Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro anhand von Kennzahlen und Schwellenwerten.

Neue Anforderungen an Datensicherheitskonzepte

Mit der Umsetzung der NIS2-Richtlinie müssen betroffene Unternehmen ihre Datensicherheitskonzepte grundlegend überarbeiten und erweitern. Zentrale Aspekte sind:

1. Risikomanagement:Unternehmen werden darauf verpflichtet, ein umfassendes Risikomanagement implementieren, das Cyber-Bedrohungen systematisch identifiziert, bewertet und adressiert.
2. Technische Maßnahmen:Die Implementierung“state-of-the-art"technischer Sicherheitsmaßnahmen wird ebenfalls verpflichtend. Dazu gehören unter anderem:
   
   • Erhöhung der Endpunktsicherheit,
   • Einsatz von Verschlüsselungstechnologien,
   • Verbesserung der Netzwerksicherheit,
   • Implementierung strenger Zugriffskontrollen.
3. Governance:Klare Verantwortlichkeiten und Prozesse für das IT-Sicherheitsmanagement müssen etabliert werden. Die Vorgaben in diesem Bereich umfassen beispielsweise auch regelmäßige Schulungen für Mitarbeiter und Führungskräfte. Experten empfehlen, dafür auch auf externe Erfahrung und Ressourcen zu setzen, undSpezialisten für Datenrettung, Incident Response und Pentesting hinzuzuziehen.
>Supply Chain Security:Die Sicherheit der gesamten Lieferkette muss berücksichtigt und in das Sicherheitskonzept integriert werden.
4. Regelmäßige Überprüfungen:Das bloße Erstellen des Datensicherheitskonzeptes ist nicht ausreichend. Vielmehr müssen alle wesentlichen Bestandteile regelmäßig überprüft und an neue Bedrohungslagen und Rahmenbedingungen, aber natürlich auch Veränderungen im Unternehmen selbst angepasst werden.

IT-Notfallpläne als kritischer Bestandteil

Dem IT-Notfallplan kommt im Rahmen der NIS2-Richtlinie eine zentrale Bedeutung zu. Folgende Elemente sollten unbedingt Bestandteil sein:

1. Incident Response:Klare Prozesse und Verantwortlichkeiten für den Fall eines Sicherheitsvorfalls müssen definiert sein.
2. Business Continuity:Maßnahmen zur Aufrechterhaltung kritischer Geschäftsprozesse im Falle eines IT-Ausfalls oder Cyberangriffs müssen festgelegt werden.
3. Klärung von Schlüsselpositionen:Interne wie externe Verantwortliche und Spezialisten, unter anderem IT-Sicherheitsbeauftragte, Verantwortliche für Compliance-Management undExperten für Datenrettung im Notfallplanfesthalten.
4. Kommunikationsstrategien:Interne und externe Kommunikationspläne für den Krisenfall müssen ausgearbeitet sein.
5. Wiederherstellungsverfahren:Detaillierte Pläne zur Wiederherstellung von Systemen und Daten nach einem Vorfall müssen vorliegen.
6. Regelmäßige Tests und Übungen:Der Notfallplan muss regelmäßig getestet und an neue Szenarien angepasst werden.
   

   Meldepflichten und Sanktionen

   Die NIS2-Richtlinie führt verschärfte Meldepflichten ein. Sicherheitsvorfälle müssen unverzüglich, spätestens innerhalb von 24 Stunden, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Eine detailliertere Folgemeldung ist innerhalb von 72 Stunden erforderlich.
   
   Bei Verstößen gegen die NIS2-Vorgaben drohen empfindliche Sanktionen. Die Bußgelder in die Millionen gehen, in einigen Fällen in ihrer Höhe sogar an den weltweiten Umsatz gekoppelt sein. Zudem haften Führungskräfte persönlich bei Verstößen und müssen verpflichtende Cybersicherheitsschulungen absolvieren.
   
   

   Handlungsempfehlungen

   Die NIS2-Richtlinie stellt viele Unternehmen vor große Herausforderungen, bietet aber auch die Chance, die eigene IT-Sicherheit nachhaltig zu verbessern. Trotz der Verzögerungen bei der Umsetzung in deutsches Recht sollten Unternehmen die zusätzliche Zeit nutzen, um sich gründlich vorzubereiten. Empfohlene Schritte sind:
   
   1. Prüfen, ob das Unternehmen unter den Geltungsbereich der NIS2-Richtlinie fallen wird.
   2. Anpassen bestehender Datensicherheitskonzepte und IT-Notfallpläne.
   3. Investieren in moderne Sicherheitstechnologien und Schulungen der Belegschaft.
   4. Etablieren von klaren Prozessen und eindeutigen Verantwortlichkeiten für das IT-Sicherheitsmanagement.
   5. Implementieren entsprechender Prozesse.
   
   
   Die Zeit bis zur verpflichtenden Umsetzung der NIS2-Richtlinie sollte genutzt werden, um die notwendigen Anpassungen vorzunehmen und so nicht nur zukünftige Compliance zu gewährleisten, sondern auch die Widerstandsfähigkeit gegen Cyberbedrohungen signifikant zu erhöhen. Wer hier proaktiv handelt, erzielt einen Wettbewerbsvorteil und ist besser gegen die wachsenden Cyber-Risiken gewappnet.
   
   
   Unternehmensinformation / Kurzprofil:
   
         
   Bereitgestellt von Benutzer: admin
   Datum: 26.03.2025 - 09:01 Uhr
   Sprache: Deutsch
   News-ID 2161289
   Anzahl Zeichen: 0
   
   Kontakt-Informationen:
   
   Kategorie:
   
   
   Dieser Fachartikel wurde bisher 7 mal aufgerufen.
   
   
   Juristisches zu diesem Fachartikel
   
   
   Fachartikl löschen Fachartikel ändern Fachartikel beanstanden
   Weitere Fachartikel von

   Arbeiten in schwierigem Gelände: wie FieldBee PowerGuide hilft, unebene Felder ...

   Die Arbeit auf schrägen, hügeligen und schwer zugänglichen Feldern erfordert eine präzise Steuerung der Geräte. Herkömmliche Fahrmethoden führen oft zu Fehlausrichtungen, ungleichmäßiger Bodenbearbeitung und unnötigen Kosten. FieldBee Power ...
   

   Bio-Nusscremes auf dem Vormarsch: Pistazien als geschmackliche Alternative ...

   In der Welt pflanzlicher Ernährung zeigt sich ein klarer Wandel: Konsumentinnen und Konsumenten legen zunehmend Wert auf biologische Qualität, geschmackliche Vielfalt und natürliche Zutaten. Das betrifft nicht nur Hauptmahlzeiten oder Snacks, sond ...
   

   Gesunde Mitarbeiter, gesunde Firma: Warum Unternehmen auf neue Gesundheitslösun ...

   Die heutige Arbeitswelt ist durch steigende Anforderungen, zunehmende Bürokratie und ein immer höheres Arbeitspensum geprägt. Dies führt dazu, dass viele Beschäftigte unter chronischem Stress und gesundheitlichen Beschwerden leiden.Laut einer St ...